Dell Unity: Så här ändrar du KMIP-servrar (eller byter till en annan leverantör)

Summary: Så här ändrar du KMIP-servrar (Key Management Interoperability Protocol) (ELLER växlar till en annan leverantör).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Det finns två certifikattyper som krävs för KMIP-konfigurationer: Certifikat utfärdare (CA) och KMIP-klientcertifikat. Bekräfta om certifikatutfärdaren måste uppdateras, KMIP-klientcertifikatet eller både och.

Nödvändiga förhandsåtgärder:

  • KMIP-servrarna måste vara tillgängliga och köras för att KMIP ska kunna aktiveras eller inaktiveras.
  • När du laddar upp en nyare version av klientens KMIP-certifikat till Unity finns det alltid en risk att det kan leda till ett problem om det inte är identiskt med det tidigare klientcertifikatet förutom förfallodatumen FRÅN och TILL. 
  • Det här är anledningen till att vi rekommenderar att du inaktiverar KMIP på Unity som en försiktighetsåtgärd när du uppdaterar certifikat. Om det finns ett problem aktiveras inte KMIP om certifikaten inte är korrekta.
  • Säkerhetskopiera D@RE-nyckelbehållaren från KMIP-klienten när en disk eller tjänstprocess (SP) byts ut eller innan du gör certifikatändringar. 
  • Vi rekommenderar att du behåller den senaste kopian av den senaste KMIP-klientcertifikatfilen som laddats upp och används för att aktivera KMIP. Detta är om det någonsin behövs. 

Scenario 1: Ändra endast en certifikattyp i taget. Detta kan till exempel vara ett uppdaterat certifikat för förfallodatum. 
Ändringar kan göras från Unisphere Manager. Logga in på Unisphere, gå till kugghjulsikonen Inställningar i den övre högra menyraden, välj Hanteringsalternativ och välj sedan Kryptering.

  1. Inaktivera KMIP medan disksystemet fortfarande kan ansluta till den ursprungliga KMIP-servern.
    Detta säkerställer att huvudnyckeln inte går förlorad på KMIP-klienten/servern om problem skulle uppstå under övergången.
  2. Om inga ändringar krävs med de CA-certifikat som redan har importerats till Unity ändrar du endast KMIP-servrarna. Importera ett nytt KMIP-klientcertifikat. Om ändringar i stället behövs för CA-certifikatet ändrar du certifikatet och importerar det med Unisphere. Om båda behöver en uppdatering kontaktar du först certifikatutfärdaren och aktiverar KMIP igen för att säkerställa att den lyckas. Upprepa steg 1–3 igen för KMIP-klientcertifikatet. 
  3. Aktivera KMIP.

Scenario 2: Ändra CA-certifikatet eller KMIP-klientcertifikatet till en annan leverantör. Om det finns en betydande skillnad från det ursprungliga certifikatet krävs följande.

Detta rensar Unity KMIP-lockbox där konfigurationen och certifikaten lagras och installationen från början med de certifikat som krävs. 

Detta kräver att du kontaktar Dells support och hänvisar till denna KB-artikel: Dell Unity: Får ett certifikatfel när du försöker aktivera KMIP-servern

  1. Inaktivera KMIP med Unisphere från steg 1 ovan.
  2. Ta bort KMIP-konfigurationen. Detta använder den interna delen av KB ovan som behöver ett rotskal på högre nivå.
  3. Skapa den nya KMIP-konfigurationen. Skapa en ny CA och KMIP-klientcertifikat baserat på leverantörens krav.
  4. Överför den nya certifikatutfärdaren och klientens KMIP-certifikat.
  5. Aktivera KMIP.

Additional Information

Ytterligare information om certifikatändringar:

  • Det är möjligt att ha flera CA-certifikat, och vissa kan ha upphört att gälla. Om ett nytt certifikat laddas upp och det matchar ämnesnamnet för ett befintligt CA-certifikat ersätts det.
  • Det är en BÄSTA PRAXIS att INTE ha certifikatutfärdare, och KMIP-klientcertifikat upphör att gälla för nära varandra för att ge tid att uppdatera certifikatutfärdaren eller klienten och bekräfta att de fungerar. 
  • Det kan bara finnas ett KMIP-klientcertifikat. Under knappen Certifikathantering i Unisphere uppdateras datumen när det ändrade klientcertifikatet har laddats upp.
  • Om det finns problem med det nya uppladdade klientcertifikatet kanske Unity inte kan hämta den D@RE tändningsnyckeln för nyckelbehållaren från KMIP-servern. Detta kan vara en orsak till att KMIP-fel inträffar när ett försök att verifiera eller aktivera görs. 

KMIP-kommandoradsinfo:
Det går att använda Unity-kommandoraden för att överföra eller kontrollera KMIP:s status. 

Överföring av KMIP-certifikat från kommandoraden visas inte här. Mer information finns i manualen för Unity-säkerhetskonfiguration .

Den här webbplatsen är Dell Unity-informationshubben Produktdokument och -information: Webbplatsen innehåller det mesta av den offentliga dokumentationen för Unity-produkterna: Dell Unity-informationshubb

Söka: Manual för Unity-säkerhetskonfiguration

Detta öppnar en länk till PDF-filen med guiden, och du måste logga in för att kunna se den. 

Nedan visas användbara exempel på Unity-tjänstgränssnitt:

uemcli /prot/encrypt/kmip show -detail

or

uemcli -u admin -securepassword /prot/encrypt/kmip show -detail

**securePassword will require user to type in the admin user password to complete the command.

Sample output:
1:    ID       = kmip_0
      Username = APM00192427999
      Address  = x.x.x.x
      Port     = 5696
      Timeout  = 5
      State    = UP

Command to VERIFY the KMIP connection once it is configured:

uemcli -u<username> -securepassword /prot/encrypt/kmip verify

Enable or Disable KMIP from command line for a current KMIP client server:

Disable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled no

Enable:
uemcli -u admin -securepassword /prot/encrypt set -kmipEnabled yes

KMIP Certificate Show:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show

or Show Detail which provides FROM and TO Expiration dates:

uemcli -u admin -securepassword /sys/cert -service Mgmt_KMIP show -detail

Example output for a CloudLink KMIP client:

1:    ID                       = mgmt_kmip-kmip1-clientcert-1
      Type                     = Client
      Service                  = Mgmt_KMIP
      Scope                    =
      Certificate ID           = mgmt_kmip-kmip1-clientcert-1
      Trust anchor             = No
      Version                  = 3
      Serial number            = 37:03:BF:52:CE:20:51:2A:47:BD:22:14:65:D9:E8:26:EE:DB:61:18
      Signature algorithm      = SHA256WithRSAEncryption
      Issuer name              = CN=arches-cloudlink,OU=Lab,O=EMC,L=Roundup,ST=MT,C=US
      Valid from               = 2024-04-14 18:09:46
      Valid to                 = 2038-01-19 03:14:07
      Subject name             = serialNumber=8c831e64e8d9957ce75354f5a99f2bef410e07f98e59522059e7b86c137e07dc,CN=APM00192427000,OU=CloudLink,O=EMC,C=CA
      Subject alternative name =
      Public key algorithm     = Unknown
      Key length               = 2048
      Thumbprint algorithm     = SHA1
      Thumbprint               = B0:C7:AF:5E:4E:FF:A8:2C:14:53:7C:6D:F8:AC:04:1A:6A:02:DA:99
      Private key available    = Yes

Referenser:
Dell Unity: Kryptering av data vid vila.
Dell Unity: Kryptering av data vid vila – informationsdokument

Mer information finns i de här ytterligare kunskapsbasartiklarna:
Dell Unity: Det går inte att konfigurera KMIP-servern när en extern Microsoft CA används för att signera klientcertifikat (kan korrigeras av användaren)

Dell Unity: Så här konverterar du ett inkompatibelt PKCS#12-klientcertifikat för användning med KMIP

Se leverantörens dokumentation för att konfigurera KMIP.
Vissa leverantörer använder klientcertifikat som behöver ett tomt användarnamn och lösenord. 

Affected Products

Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All Flash, Dell EMC Unity Family, Dell EMC Unity Hybrid
Article Properties
Article Number: 000223263
Article Type: How To
Last Modified: 12 ديسمبر 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.